Nismo u mogućnosti izbrojati koliko puta smo vidjeli slučajeve da je određeno ovlašteno tijelo javne vlasti zatražilo drugu organizaciju da dostavi zdravstvene podatke emailom.

Bilo je tu niz zahtjeva ovlaštenih javnih tijela prema školama za dokumentacijom učenika, uključujući i dokumentaciju o teškoćama ili o obiteljskim okolnostima.

Vidjeli smo i zahtjeve nekih inspekcija ili nadležnih povjerenstava o dostavi zdravstvene dokumentacije zaposlenika kojem se propisuje određen zdravstveni tretman ili utvrđuje određena razina invalidnosti.

 

Međutim, rijetko smo pri tom svjedočili provođenju GDPR-om obveznih sigurnosnih mjera zaštite osjetljivih osobnih podataka.

Minimum sigurnosnih mjera uključuje stavljanje lozinke na osjetljivu dokument ili Zip datoteku i slanje lozinke konkretnom primatelju porukom ili telefonom, ili pak slanje preporučenom poštom. Nijedna od takvih metoda nije 100% sigurna, ali svakako je sigurnija od običnog slanja emailom, posebice ako se radi o nekoj generičkoj email adresi primatelja na strani tijela javne vlasti za koju ne znamo tko sve može istoj pristupiti. Zaštita lozinkom je minimalni preduvjet i za isporuku osjetljive dokumentacije FTP alatima trećih strana (npr. WeTransfer ili Jumbo), pri čemu je važno postaviti zaštitu lozinkom ili kriptiranjem prije uploadanja na tuđe sustave.

U organizacijama za koje brinemo ulogom Službenika za zaštitu podataka takve sigurnosne procedure su obvezujuće unatoč tome što smo znali čuti komentare npr. da „kompliciramo“ ili da „takvo štićenje dokumentacije jako usporava proces“ ili da „druga strana nema službeni mobitel“.

Ono na što uvijek upozoravamo organizacije jest činjenica da određena ovlaštena tijela javne vlasti vrlo često traže dostavu emailom i u vrlo kratkim rokovima.

Tu zapravo nema kršenja GDPR-a, iako su organizacije time stavljene u određeni vremenski pritisak pa zaštita osobnih podataka može pasti u drugi plan. Međutim, organizacija koja dostavlja traženu dokumentaciju je ta koja mora osigurati sigurnosne mjere zaštite i usklađenost s GDPR-om, bez obzira na rokove dostave „jučer“.

 

Stoga, ponavljamo pitanje iz naslova jel još uvijek šaljemo osjetljive osobne podatke mailom bez zaštite?

Grad Zaragoza iz sličnih razloga to više neće.

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202303130&mtc=today

 

Image from FreePik

#gdprcroatia